最近局域网里面感染了PIF的病毒,十几台电脑无一幸免。它的症状大约是这样的,
1、路由器出现声音报警,提示有ARP攻击;
2、两个局域网中的一个局域网出现掉线的情况;
3、出现掉线的局域网中的大多数电脑系统时间都被改成了2004年
4、360、卡巴等软件全部被关闭。
5、电脑出现360、杀毒软件、注册表编辑器等无法打开,一双击运行就出现上“文件正在使用中”的提示。
6、安全模式无法进入,出现蓝屏重启现象。
7、无法查看隐藏文件,文件选项中“隐藏文件和文件夹”下两个选项同时被选中的情况。
8、各个分区、包括接入的U盘等都出现autorun.inf情况
9、进程里很多3.pif,h.pif,5.pif,无法结束进程
网上有提供一些解决方案,方案一:
360安全卫士最新版安装程序,“windows修复专家”,“SREng2”,“冰刃 ICEWORD”
将上述软件存放到光盘或U盘中,待修复系统时使用。
1、修复IFEO映像挟持:
对付IFEO映像挟持最好的方法就是修改可执行文件的文件名,尝试修改360安全卫士的文件名,双击运行360发现360已经可以打开,但是360打开不多久就被关闭。利用“冰刃”查看进程,发现“冰刀”同样被IFEO映像挟持。修改““冰刃”的可执行文件,“冰刃”可正常运行。在结束“wuauclt.exe”进程后,360等软件已经不会被关闭,利用360的扫描“恶评插件”功能并清除后,即可恢复安全模式的正常运行,也可以清理所有的“IFEO映像挟持”。
修改系统日期为当前正确日期。
二、处理“wuauclt.exe”防止死灰复燃
“wuauclt.exe”本来是Windows的系统更新程序,但是这次发现的木马程序已经将这个文件变成了
自己。所以这一步要干掉它。
进入安全模式,利用其它电脑正常的“wuauclt.exe”文件换掉c:\windows\system32以及 c:\windows\system32\dllcache\中的文件,实在找不到正常的文件,
可以直接删除这两个文件,由于目前系统无法查看系统隐藏文件,所以要在命令行的模式下进行清除
在运行中运行“CMD”进入命令行模式,依次运行下列命令
attrib -s -h -r c:\windows\system32\wuau*.exe
attrib -s -h -r c:\windows\system32\dllcache\wuau*.exe
del c:\windows\system32\wuau*.exe
del c:\windows\system32\dllcache\wuau*.exe
打开SREng,删除蓝色的异常的启动项目。
然后将先前修改的360的可执行文件改成原来的,如果忘记可以在这个时候重装360,并且在保护功能中打开ARP防火墙功能。
重启计算机进入正常模式,然后安装“windows修复专家”,用它对系统进行扫描,清理一切发现的可清除项目,当提示“进行驱动级清理”后,在提示重启计算机时,选择重启。
重启后,“windows修复专家”,会在桌面启动前再次运行并自动扫描,当扫描完成后关闭“windows修复专家”,这时桌面
出现。利用360对IE进行全面修复。
查找并删除硬盘中一切可删除的PIF文件。
到此清理基本成功。
因为网上提供的方法需要的工具太多了,我根本无法联网,上网下载软件就会被结束浏览器的进程,还不停跳出黄色网站。我只好拔开网线,手动删毒。
我先重装了系统,然后启动系统盘的PE系统,在PE系统里面查找*.pif文件,把这些文件都删除,查找autorun.inf文件,都删除它。重启电脑,装上360再扫描一遍,问题就解决了。
如果真的不想重装系统那也可以用USBcleaner6.0 修复系统安全模式,保护系统时间,进入安全模式再装杀毒软件,杀毒完了,再进PE系统手动删除所有PIF文件,所有恶意的autorun文件。